Проверка состояния защищенности информационных активов – одна из важнейших задач контроля рисков и управления информационной безопасностью компании. При этом особенно ценным является взгляд «со стороны» на систему информационной безопасности – проведение анализа опытными и независимыми экспертами, способными указать на критичные уязвимости и недостатки в организации деятельности и существующих мерах защиты информации, проанализировать  несоответствия установленным нормативным правовым требованиям.

Проверка может проводиться в разных формах и различными методами:

  • Аттестация на соответствие нормативным требованиям обеспечения безопасности информации (защиты государственных информационных систем, безопасности обработки персональных данных, обеспечение безопасности АСУТП);
  • Оценка соответствия требованиям Положения Банка России №382-П, Стандарта Банка России СТО БР ИББС-1.0;
  • Аудит системы менеджмента информационной безопасности на соответствие стандарту ISO/IEC 27001 (ГОСТ Р ИСО/МЭК 27001);
  • Проверка технической защищенности вычислительной сети (стандарты NIST, каталоги уязвимостей, рекомендации производителей оборудования и программного обеспечения);
  • Аудит на основе экспертной оценки рисков информационной безопасности, с учетом актуальных угроз и потенциального ущерба от их реализации;
  • Комплексный аудит, включающий в себя проверку соответствия критериям сразу по нескольким направлениям защиты информации.

Работы в данной области состоят из следующих шагов:

1. Подготовка к проведению работ, включающая уточнение области и критериев проверки, планирование дальнейших работ.

2. Сбор данных, свидетельствующих о соответствии/несоответствии установленным критериям.

3. Разработка отчетных документов, в том числе описание проделанной работы, замечаний и  рекомендаций по повышению уровня информационной безопасности.